Des pirates informatiques nord-coréens s’introduisent dans une entreprise de logiciels dans le cadre d’une cyberattaque majeure
(CNN) Des pirates nord-coréens présumés ont infiltré une société de logiciels qui revendique des centaines de milliers de clients dans le monde dans une cyberattaque qui montre les capacités de piratage avancées de Pyongyang, ont annoncé jeudi des enquêteurs privés.
La brèche de la société de logiciels 3CX, découverte le mois dernier, a permis aux Nord-Coréens de s’implanter dans un vaste éventail d’entreprises multinationales – des chaînes hôtelières aux prestataires de soins de santé – qui utilisent le logiciel de l’entreprise pour les appels vocaux et vidéo.
Le nombre d’entreprises touchées par le piratage et ce que les pirates ont finalement fait avec l’accès aux réseaux des victimes restent flous. Mais c’est la dernière preuve que les pirates nord-coréens mettent tout en œuvre pour s’introduire dans des organisations afin de les voler ou de les espionner pour soutenir les intérêts stratégiques du dictateur Kim Jong Un.
Le piratage montre « un niveau accru de capacité cyber-offensive par les agents nord-coréens », a déclaré Charles Carmakal, directeur de la technologie chez Mandiant Consulting, que 3CX a engagé pour enquêter sur le piratage.
Une enquête récente de CNN a révélé un effort effréné des pirates nord-coréens pour voler la crypto-monnaie et la blanchir en espèces sonnantes et trébuchantes qui pourraient aider à financer les programmes d’armement du régime. Une telle cyberactivité nord-coréenne fait partie des produits de renseignement réguliers présentés aux hauts responsables américains, y compris parfois le président Joe Biden, a précédemment déclaré un haut responsable américain à CNN.
Dans le cas de 3CX, Mandiant a déclaré que les pirates se sont introduits dans l’environnement de production de logiciels de l’entreprise en compromettant d’abord les logiciels fabriqués par une autre société, la plateforme de trading de produits dérivés Trading Technologies. Un employé de 3CX a téléchargé le logiciel Trading Technologies, aujourd’hui disparu, que les pirates avaient trafiqué, selon Mandiant.
« C’est la première fois que nous trouvons des preuves concrètes d’une attaque de la chaîne d’approvisionnement menant à une autre attaque de la chaîne d’approvisionnement », a déclaré Carmakal aux journalistes mercredi.
Pourtant, l’impact du piratage n’est pas clair. N’importe quel client de 3CX ayant téléchargé le logiciel buggé aurait été susceptible d’être compromis. Mais les Nord-Coréens ont probablement choisi un nombre beaucoup plus restreint de victimes pour les activités de suivi sur leur réseau, selon la société américaine de cybersécurité CrowdStrike.
Les pirates nord-coréens présumés ont utilisé l’accès 3CX pour cibler les entreprises de crypto-monnaie à la fin du mois dernier, a déclaré Georgy Kucherin, chercheur à la société russe de cybersécurité Kaspersky, à CNN.
Kucherin a déclaré que son entreprise avait vu les pirates tenter de déployer du code malveillant sur « moins de 10 ordinateurs » mais avait bloqué leurs efforts, « donc rien n’a été volé ».
Nick Galea, PDG de 3CX, a minimisé le 30 mars l’ampleur de l’incident, déclarant à CNN que « très peu » de ses clients semblaient être « réellement compromis » par les pirates. Mais dans un e-mail jeudi, Galea a déclaré qu’il ne savait pas combien de clients avaient finalement téléchargé le logiciel 3CX trafiqué, ni combien de clients avaient vu une activité de piratage de suivi.
3CX a expliqué à ses clients comment mettre à jour leur logiciel et vérifier les compromis.
Trading Technologies n’a pas encore été en mesure de vérifier les conclusions de Mandiant car la société n’a pris connaissance du problème que la semaine dernière, a déclaré jeudi à CNN un porte-parole de Trading Technologies.
« Ce que nous savons avec certitude, c’est que 3CX n’est ni un fournisseur ni un client de Trading Technologies », a déclaré le porte-parole de Trading Technologies. « Nous voudrions également souligner que cet incident n’a aucun rapport avec la plate-forme TT actuelle. »
Des responsables américains se joignent à l’enquête
Le piratage a envoyé des responsables américains et des cadres privés se démener pour déterminer combien d’organisations américaines pourraient être affectées.
L’agence américaine de cybersécurité et de sécurité des infrastructures « continue de travailler avec des partenaires du gouvernement et du secteur privé pour comprendre les impacts de cette campagne d’intrusion », a déclaré jeudi un porte-parole de l’agence à CNN. « Dans de nombreux cas, le travail exceptionnel de la communauté de la cybersécurité a permis d’éviter un préjudice important à de nombreuses victimes potentielles. »
Les piratages de la chaîne d’approvisionnement sont généralement associés à des pirates informatiques liés à l’État en provenance de Chine ou de Russie, a déclaré Adam Meyers, vice-président du renseignement chez CrowdStrike.
« Le fait que ce soit la Corée du Nord … montre qu’il s’agit d’un acteur qui a des capacités et des aspirations en matière de chaîne d’approvisionnement, et qui peut en avoir des effets », a déclaré Meyers à CNN.